Podpisové databáze účinně chrání naše počítače po celá léta. S příchodem dalších a dalších hrozeb musely antivirové společnosti zdvojnásobit svou vynalézavost při řešení neznámého a nepředvídatelného malwaru. Behaviorální analýza jde dále monitorováním systému a blokováním podezřelých akcí u zdroje. Pojďme na krátkou prohlídku, abychom pochopili, jak je detekován virus a před čím vás antivirus chrání.
Heuristická nebo behaviorální analýza: dvě strany pokročilé ochrany
Shrnutí předchozích epizod: na začátku byl virus. Není příliš rozšířený a snadno identifikovatelný, první malware mohl (a stále může) být detekován podle jeho podpisu, posloupnosti po sobě jdoucích bytů, které jim umožňují rozpoznat. Tyto podpisy jsou pravidelně aktualizovány, a proto mohou detekovat pouze známé hrozby.To nebyl žádný problém, dokud se hrozby neznásobily, v počtech příliš velkých na to, aby umožňovaly optimální odezvu. Proto je potřeba nabídnout ochranu, která nejen reaguje na známý virus, ale která může předvídat jeho škodlivou povahu analýzou jeho chování.
Tuto možnost poskytují dvě metody. První je heuristická analýza, která spočívá v prosévání softwaru, a to buď „dekompilací“ jeho zdrojového kódu, nebo spuštěním ve virtuálním stroji. Poté zjistíme, zda provádí akce, které by mohly být podezřelé, nebo porovnáme strukturu jeho kódu s těmi, které již byly identifikovány, nebo s potenciálně nebezpečnými vzory chování.
Behaviorální analýza je umístěna na úrovni systému. Není to soubor, který sledujeme jeho procházením skenerem nebo karanténou, je to OS jako celek. Ochrana chování sleduje aktivitu systému (Windows, Android, MacOS atd.) A rozpoznává akce, které se zdají být škodlivé, například požadavky na neznámý server, úpravy souborů nebo žádosti o přístup k umístěním v Paměť.
Tyto dvě metody koexistují a navzájem se doplňují. Například heuristika může mít svá omezení, protože mnoho nedávných hrozeb zahrnuje ochranu před emulátory. V tomto okamžiku jej může zradit pouze skutečné provedení souboru.
Ransomware, tajné útoky: analýza chování jako záštita
Behaviorální analýza zaměřená na systém, nejen na soubory, je záštitou proti zhoubným útokům, jako je „stahování z disku“, které je spouštěno kódem spuštěným ve webovém prohlížeči.
V rodině nedávných hrozeb, které způsobily obzvláště škody, je ransomware nebo „ransomware“ typickým typem útoku, kde hraje klíčovou roli ochrana chování. Ransomware se narodil z mutace počítačové kriminality. Ve dnech prvních virů byla nejčastějším strachem ztráta osobních souborů. Ale jaký má smysl ničit dokumenty, které máte drahý? Samozřejmě poškození uživatele nebo firmy. Proč je místo toho nepřijmout jako rukojmízískat finanční náhradu?
To je to, co ransomware dělá. Útočí na vaše osobní soubory a použijí na ně šifrovací algoritmus, aby byly nepřístupné. Zaplaťte výkupné a budete mít klíč. V praxi to není ani zaručeno.
Zde bude behaviorální analýza schopna detekovat tyto abnormální změny, blokovat tyto operace a v případě potřeby obnovit soubory na jejich předchozí verzi.
Meze a vývoj
Behaviorální skenování naráží na hlavní problém jakéhokoli typu antivirové kontroly: falešné poplachy. Neobvyklý provoz systému může být jednoduše nekonvenční, aniž by byl nutně škodlivý.Moduly analýzy chování se však také vyvíjejí a jsou ideální pro jeden z posledních trendů: strojové učení. Díky postupnému učení bezpečnostní řešení stále více využívají neuronové sítě k odlišení legitimních akcí od podezřelých.
Výměnou za účinnost tohoto typu analýzy je další úskalí. Monitorování chování operačního systému může být náročné na zdroje a potenciálně zpomalit náročné úkoly. To je však cena, kterou musíte zaplatit, abyste mohli těžit z efektivnější vrstvy ochrany před množením online hrozeb.
